Compartir a través de

Introducción a las directivas de prevención de pérdida de datos para Fabric y Power BI

Este artículo es una introducción general a las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) Fabric y Power BI. El público de destino son los administradores de Fabric, los equipos de seguridad y cumplimiento y los propietarios de datos de Fabric. Si es propietario de datos y quiere saber cómo responder cuando una sugerencia de directiva le indica que el elemento tiene una coincidencia de directiva DLP, consulte Responder a una coincidencia de directiva DLP en Fabric. Si es administrador de Fabric o administrador de seguridad y cumplimiento y necesita auditar alertas sobre coincidencias de directiva DLP, consulte Supervisión de coincidencias de directiva DLP en Fabric.

Información general

Para ayudar a las organizaciones a detectar y proteger sus datos confidenciales, Fabric admite las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP). Cuando una directiva DLP para Fabric detecta un tipo de elemento compatible que contiene información confidencial, se desencadenan las acciones configuradas en la directiva. Estas acciones pueden incluir:

  • Adjuntar una sugerencia de directiva al elemento que explica la naturaleza del contenido confidencial.
  • Registro de una alerta para administradores en la página Alertas de prevención de pérdida de datos en el portal de Microsoft Purview.
  • Enviar alertas por correo electrónico a administradores y usuarios especificados.
  • Restricción del acceso al elemento.

Para obtener más información, consulte How do DLP policies for Fabric and Power BI work (Cómo funcionan las directivas DLP para Fabric y Power BI).

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Licencias y permisos

Licencias

Para obtener información sobre las licencias, consulte

Permissions

Los datos de DLP para Fabric y Power BI se pueden ver en el Explorador de actividad. Hay cuatro roles que conceden permiso al Explorador de actividad; la cuenta que use para acceder a los datos debe ser miembro de cualquiera de ellos.

Para ver el Explorador de actividad, la cuenta que use para acceder a los datos debe ser miembro de cualquiera de los siguientes roles o superior.

  • Administrador de cumplimiento
  • Administrador de seguridad
  • Administrador de datos de cumplimiento

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con privilegios elevados que solo se debe usar en escenarios en los que no se puede usar un rol con privilegios menores.

Facturación

Las cargas de trabajo de evaluación DLP afectan al consumo de capacidad. Para obtener información sobre cómo se mide y se factura, consulte Información sobre los modelos de facturación de Microsoft Purview.

Funcionamiento de las directivas DLP para Fabric y Power BI

Defina una directiva DLP en la sección de prevención de pérdida de datos del portal de Microsoft Purview. En la directiva, especifique las condiciones, como las etiquetas de confidencialidad o los tipos de información confidencial que desea detectar. También especifica las acciones que realizará el sistema cuando se detecte una coincidencia de directiva.

Cuando las directivas DLP evalúan un tipo de elemento compatible , si coincide con las condiciones especificadas en una directiva DLP, se producen las acciones especificadas en la directiva. Las directivas DLP se inician mediante las siguientes acciones:

Modelos semánticos:

Un modelo semántico se evalúa con directivas DLP cada vez que se produce uno de los eventos siguientes:

  • Publicar
  • Republish
  • Actualización a petición
  • Actualización programada

Nota:

La evaluación DLP del modelo semántico no se produce si se cumple alguna de las siguientes condiciones:

  • El iniciador del evento (publicar, volver a publicar, actualizar a petición, actualizar programado) es una cuenta que usa la autenticación de entidad de servicio.
  • El propietario del modelo semántico es una entidad de servicio.

Elementos de tejido:

Un elemento de Fabric, como lakehouse, base de datos SQL o base de datos reflejada, se evalúa con respecto a las directivas DLP cuando los datos que contiene experimentan un cambio, como obtener nuevos datos, conectar un nuevo origen, agregar o actualizar tablas existentes, etc.

¿Qué ocurre cuando una directiva DLP de Fabric marca un elemento?

Cuando una directiva DLP detecta un problema con un elemento:

  • Si la "notificación de usuario" está habilitada en la directiva, el elemento se marcará en Tejido con un icono que indica que una directiva DLP ha detectado un problema con el elemento. Mantenga el puntero sobre el icono para mostrar una tarjeta con el puntero que proporciona una opción para ver los detalles completos en un panel lateral. Para obtener más información sobre lo que ve en el panel lateral, vea Responder a una infracción dlp en Fabric.

    Captura de pantalla del icono de sugerencia de directiva en el centro de datos de OneLake.

    Para los modelos semánticos, al abrir la página de detalles se mostrará una sugerencia de directiva que explica la infracción de directiva y cómo se debe controlar el tipo de información confidencial detectada. Al seleccionar Ver todo , se abre un panel lateral con todos los detalles de la directiva.

    Captura de pantalla de la sugerencia de directiva en la página de detalles del modelo semántico.

    Nota:

    Si oculta la sugerencia de directiva, no se elimina. Aparecerá la próxima vez que visite la página.

    En el caso de lakehouses, la indicación aparecerá en el encabezado en modo de edición y la apertura del control flotante permite ver más detalles sobre las sugerencias de directiva que afectan al lago. Al seleccionar Ver todo , se abre un panel lateral con todos los detalles de la directiva.

    Captura de pantalla de la sugerencia de directiva en el control flotante del encabezado de Lakehouse.

  • Si las alertas están habilitadas en la directiva, se registrará una alerta en la página Alertas de prevención de pérdida de datos del portal de Microsoft Purview y, si se configura, se enviará un correo electrónico a los administradores o usuarios especificados. Para obtener más información, consulte Supervisión y administración de infracciones de directiva DLP.

Acciones admitidas

Cuando las directivas DLP evalúan un modelo semántico o lakehouse, si coincide con las condiciones especificadas en una directiva DLP, se producen las acciones especificadas en la directiva. Las directivas DLP para Fabric y Power BI admiten tres acciones:

  • Notificación de usuario a través de sugerencias de directiva.
  • Alertas. Las alertas se pueden enviar por correo electrónico a los administradores y usuarios. Además, los administradores pueden supervisar y administrar alertas en la pestaña Alertas del portal de Purview.
  • Restringir el acceso. Cuando se configura una directiva con la acción restringir el acceso, en caso de coincidencia de directiva, el acceso al elemento está restringido, ya sea a los propietarios de datos o a los miembros de la organización, en función de cómo se configure la directiva. Todos los demás usuarios pierden el acceso al elemento.

Para obtener información sobre qué desencadena la evaluación DLP, consulte Cómo funcionan las directivas DLP para Fabric y Power BI.

Tipos de elementos admitidos

Las directivas DLP para Fabric y Power BI admiten actualmente (versión preliminar) los siguientes tipos de elementos.

  • Modelos semánticos
  • Lakehouses
  • Bases de datos KQL
  • Bases de datos reflejadas
  • Bases de datos SQL

Consulte Consideraciones y limitaciones para conocer las excepciones.

Tipos de condición admitidos

Las reglas de directiva DLP para Fabric y Power BI admiten etiquetas de confidencialidad y un subconjunto de tipos de información confidencial (consulte consideraciones y limitaciones) como condiciones.

Configuración de una directiva DLP para Fabric y Power BI

Para obtener información sobre cómo crear una directiva DLP para Fabric o Power BI, consulte Creación e implementación de directivas de prevención de pérdida de datos. En concreto, siga los procedimientos del escenario 8 Bloquear informes de Power BI con números de tarjeta de crédito y adaptarlos a su propio escenario concreto.

Consideraciones y limitaciones

  • Las directivas DLP se aplican a las áreas de trabajo. Solo se admiten áreas de trabajo hospedadas en capacidades Fabric o Premium. Para obtener más información, consulte Conceptos y licencias de Microsoft Fabric.
  • Las plantillas de directiva DLP aún no se admiten para las directivas DLP de Fabric. Al crear una directiva DLP para Fabric, elija la opción "directiva personalizada".
  • Las directivas DLP para Fabric no se admiten para modelos semánticos de ejemplo, conjuntos de datos de streaming o modelos semánticos que se conectan a su origen de datos a través de DirectQuery o conexión dinámica. Esto incluye modelos semánticos con almacenamiento mixto, donde algunos de los datos se incluyen a través del modo de importación y otros se incluyen a través de DirectQuery.
  • Las directivas DLP para Fabric solo se aplican a los datos de las tablas o carpetas de Lakehouse almacenadas en formato Delta.
  • Las directivas DLP para Fabric admiten todos los tipos delta primitivos excepto timestamp_ntz.
  • Las directivas DLP para Fabric no se admiten para los siguientes tipos de datos de Delta Parquet:
    • Binary, timestamp_ntz, Struct, Array, List, Map, Json, Enum, Interval, Void.
    • Datos con códecs de compresión LZ4, Zstd y Gzip.
  • DLP for Fabric no admite clasificadores de coincidencia exacta de datos (EDM) y clasificadores entrenables. Si selecciona un clasificador EDM o entrenable en la condición de una directiva, la directiva no producirá resultados aunque el modelo semántico o lakehouse contenga de hecho datos que satisfagan el EDM o el clasificador que se puede entrenar. Otros clasificadores especificados en la directiva devolverán resultados, si los hubiera.
  • Las directivas DLP para Fabric no se admiten en la región Norte de China. Consulte Búsqueda de la región predeterminada de su organización para obtener información sobre cómo buscar la región de datos predeterminada de la organización.
  • Las capacidades de Azure no se admiten para DLP en Fabric en los clústeres siguientes:
    • WUS3
    • WUS2
    • SCUS
  • La incorporación de un nuevo inquilino a DLP puede tardar unas horas, en función del número de áreas de trabajo admitidas que se van a incorporar.

Vea también